深度防御的目的就是要把系统环境进行分层,防止单个节点出现问题后,入侵者或者不信任的连接访问到数据库系统中的底层数据。减少风险的最有效的方式是控制权限、遵循最小权限机制、建立健全的安全机制并遵循实际的***实践。
MongoDB Enterprise Advanced具有丰富的防御、预测依据访问控制的特性,提供很多现代数据库具有的完善的安全机制:
l 用户权限管理:对于数据库、集合以及文档中的固定的域中的敏感数据提供工业标准级别的权限控制。
l 审计:保证监管以及内部合规
l 加密:保证数据在网络传输以及写入硬盘后的安全性
l 管理员控制:快速识别潜在漏洞,并减少其影响
认证MongoDB可以在数据库系统内部通过挑战/响应机制以及x.509KPI进行管理,或者通过MongoDB Enterprise Advanced与第单方安全机制比如LDAP、Windows Active Directory, 和 Kerberos进行集成。
授权管理员可以对用户、应用、以及查询后那些数据进行权限控制。还可以定义不同的角色,实现访问数据和管理数据的不同实体之间的职责分离。
审计管理员使用MongoDB Enterprise Advanced可以为许多操作构建和过滤审计跟踪,不管是DML、DCL还是DDL。比如,不仅可以记录并审核检索特定文档的用户的身份,还可以记录在会话期间对数据库执行的其他操作。审计日志可以以不同的方式展示,比如展示在控制台,或者syslog或者直接输入到文件中(JSON或者BSON),这些信息可以用来做分析。
加密MongoDB的数据可以在网络层进行加密,也可以在硬盘上进行加密。
MongoDB支持SSL,所以客户端可以通过加密通道连接MongoDB。如果在FIPS验证加密模块中运行FIPS模式时,MongoDB还支持140-2加密。
使用Encrypted存储引擎后,对静态数据的保护就成为了数据库的一个整体特性。在本地硬盘上对数据进行加密可以省去外部加密机制带来的管理以及性能开销。这种新的存储引擎只允许有对应凭据的链接才能取到加密数据。
对原始数据库进行加密时,系统会随机生成一个加密码,把数据加密后,只有使用正确的解码密码才能看到数据。这个过程对应用来说是透明的。MongoDB支持很多加密算法—默认的是CBC模式下的AES-156,当然也支持GCM模式下的AES-256。
只读、编辑视图从MongoDB3.4开始,DBA可以定义非物化视图,只显示底层集合的一部分数据,比如,过滤具体字段的视图。DBA可以定义从其他集合聚合生成的视图。
使用MongoDB标准查询语句以及聚合管道可以定义视图,允许包含或排除字段、屏蔽特定字段值、过滤、模式转换、分组、分类、限制以及使用$lookup和 $graphLookup进行数据的链接。
广告时间 MongoDB Atlas:MongoDB数据即服务MongoDB可以为你运行数据库!MongoDB Atlas提供MongoDB的所有特性,无需繁琐的操作。MongoDB Atlas可以按需付费,让你把时间和经理放在你所擅长的事情上。
MongoDB Atlas的上手很简单,通过简明的GUI界面选择实例大小、分区以及以所需要的特性。MongoDB提供一下服务:
l 安全特性,保护你的数据安全
l 内置复制集特性,高可用,支持灾备恢复
l 备份功能以及制定到时间点的数据恢复
l 细粒度的监控机制可以随时了解何时该对系统进行扩容,通过点击数据就可以完成实例的添加
l 自动打补丁,点击鼠标就可以完成重大版本的升级,以便使用最新的MongoDB特性
l 可以按地区、云服务商选择自己所需,同时支持按需收费
MongoDB Atlas功能强大,从概念验证、测试以及问答环境到完整的生产环境集群都可以满足。如果你觉得所有的数据库操作都由自己进行操作,那么把数据库 系统迁移到你自己的基础设施上也很方面。
MongoDB Stitch:后端即服务MongoDB Stitch是后端即服务,为开发人员提供MongoDB的类似于REST的API,与其他服务也有很好的组合性,可配置灵活的数据权限控制。Stitch同时为JavaScript,iOS和Android提供原生SDK。
.内置的集成可以使你的前端连接到你最喜欢的第三方服务:Twilio, AWS S3, Slack,
Mailgun, PubNub, Google等等。